Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Apache Commons FileUpload

Betroffene Plattformen:

Debian Linux 6.0.8 Squeeze
Debian Linux 7.3 Wheezy
Red Hat Fedora 19
Red Hat Fedora 20

Ein entfernter Angreifer kann diese Schwachstelle ausnutzen, um
Denial-of-Service-Angriffe durchzuführen.

Patch:

Debian Security Advisory DSA-2856

http://www.debian.org/security/2014/dsa-2856

Patch:

Fedora Update FEDORA-2014-2175

https://admin.fedoraproject.org/updates/FEDORA-2014-2175/apache-commons-fileupload-1.3-5.fc20

Patch:

Fedora Update FEDORA-2014-2183

https://admin.fedoraproject.org/updates/FEDORA-2014-2183/apache-commons-fileupload-1.3-5.fc19

CVE-2014-0050: Schwachstelle in Apache Commons FileUpload ermöglicht DoS

Apache Commons FileUpload verarbeitet bestimmte MultipartStreams nicht
fehlerfrei, falls der verwendete Puffer zu klein ist. Dies ermöglicht einem
entfernten Angreifer durch das Senden eines präparierten MultipartStreams,
dessen Puffergröße nicht ausreichend ist, den Webserver in eine
Endlosschleife zu versetzen und somit einen Denial-of-Service-Zustand
auszulösen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0156/

Schwachstelle CVE-2014-0050 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0050

Debian Security Advisory DSA-2856:
http://www.debian.org/security/2014/dsa-2856

Fedora Update FEDORA-2014-2175:
https://admin.fedoraproject.org/updates/FEDORA-2014-2175/apache-commons-fileupload-1.3-5.fc20

Fedora Update FEDORA-2014-2183:
https://admin.fedoraproject.org/updates/FEDORA-2014-2183/apache-commons-fileupload-1.3-5.fc19

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.